W32/Sasser.worm.a
Adatlap
- Felfedezés időpontja: 2004. 04. 30.
- Eredet: Ismeretlen
- Hossz: 15872 bájt
- Típus: Vírus
- Altípus: Internet programféreg
- Szükséges adatbázis: 4356
- Szükséges keresőmotor: 4.2.40
Előfordulás valószínűsége
- Vállalati környezet: Közepes
- Otthoni felhasználók: Közepes
Tulajdonságok
Ez a programféreg a Microsoft Windows rendszerek MS04-011 jelű (CAN-2003-0533) sebezhetőségét kihasználva automatikusan terjed.
A programféreg az avserve.exe fájlnevet használja. A közelmúlt "nagy férgeivel" ellentétben nem terjed e-mailen, se felhasználói közreműködést nem igényel. A tavalyi W32/Lovsan.worm (Blaster) féreghez hasonlóan távoli sebezhetőség kihasználásával automatikusan terjeszti önmagát a sebezhető számítógépekre.
A fertőzés tünetei
A programféreg bemásolja magát a Windows könyvtárba avserve.exe néven, és registry kulcsot készít az automatikus betöltődéshez.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "avserve.exe" = C:\WINDOWS\avserve.exe
A programféreg távoli IP-címek 445-ös portjára nyit kapcsolatot az 1068-as kliens-porttól kezdődően a sebezhető számítógépek felderítéséhez. Ezen kívül FTP szerverként működik az 5554-es, és távoli hozzáférést biztosít a 9996-os porton.
A helyi számítógép IP-címét a C: meghajtó gyökér-könyvtárában lévő win.log fájl tartalmazza.
A programféreg másolatai megtalálhatók a Windows System könyvtárban véletlenszám_up.exe néven
Példák
- c:\WINDOWS\system32\11583_up.exe
- c:\WINDOWS\system32\16913_up.exe
- c:\WINDOWS\system32\29739_up.exe
A fertőzés jele és hatása az LSASS.EXE folyamat leállása, ami a számítógép újraindulásához vezet. Angol nyelvű rendszereken a következő ablakok jelennek meg:
A fertőzés menete
A programféreg egy, a vírus megjelenésekor körülbelül három hetes Microsoft sebezhetőséget használ ki, és felhasználó beavatkozás nélkül terjed gépről gépre.
A programféreg véletlenszerű IP-címeken keres sebezhető rendszereket. Amennyiben ilyet talál, az LSASS.EXE folyamat hibáját kihasználva távoli hozzáférést biztosít a támadott gép 9996-osTCP portján. Ezután egy cmd.ftp nevű FTP parancsfájt készít és lefuttatja azt, ezzel a támadott gép letölti a támadóról a programférget. A megfertőzött számítógép ezután már szintén FTP-szerverként használható annak 5554-es portján, illetve aktívan terjeszti a programférget.
A programféreg több szálon fut, melyek némelyike a számítógép alhálózatát, némelyike teljesen véletlenszerű IP-címeket vizsgál. A programféreg a 445-ös TCP port elérhetőségét figyeli.
Eltávolítási utasítások
Minden felhasználónak:
Az érvényes adatbázisokkal és keresőmotorral a vírus tisztítható.A fertőzött, vagy sebezhető rendszerek számára a következő frissítés telepítése szükséges:
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspxStinger
A Stinger 2.24-es verziója alkalmas a vírus felismerésére és tisztítására.
Egyéb elnevezések
- W32.Sasser.Worm (Symantec)
- W32/Sasser.A (F-Secure)
- W32/Sasser.worm
